Прийнятий законопроект № 11290 не зміцнює кібербезпеку, а розширює корупцію

Вітчизняні медіа поспішили назвати проголосований Радою у другому читанні законопроект № 11290 «зміцненням національного кіберзахисту».
Даю що завгодно на відсіч, що жоден з журналістів не прочитав усі 25 сторінок законопроекту. А хто хоч пару абзаців прочитав – навряд чи зрозумів приховані за заплутаним канцеляритом сенси.
Тому давайте я все поясню простою мовою та поділюся найбільш важливими висновками.
Тексту буде більше, ніж зазвичай, та й далеко не всім то буде цікаво. Але мушу це опублікувати, нехай і для доволі вузької спеціалізованої аудиторії. А ще для історії і щоб кібер-фахівці були у курсі «новин кібер-законодавства».
Хто не бажає читати лонгріди – можна не читати. Або одразу переходити до заключної частини з висновками.

Отже, почнемо. Свої зауваження буду нумерувати для зручності.

1.Основне, за що критикували законопроект № 11290 – було засекречування інформації про кіберінцидент, себто про факт результативної кібератаки ворога.
Проголосована у другому читанні змінена редакція цього ЗП начебто декларує, що це є відкритою інформацією. Але залишає Держспецзв’язку (він же ДСС331) широке поле для махінацій, оскільки інформація «про характер, технічні характеристики, інші деталі кіберінциденту, кібератаки,..”- віднесена до інформації з обмеженим доступом. А критерії віднесення такої інформації до ДСК – колись визначить Кабмін. Читай – сама Держспецзв’яку. І таке формулювання залишає широке поле для різних трактувань таких «критеріїв», які скоріш за все теж будуть нечіткими і які в принципі не можуть передбачити усіх можливих ситуацій. Та хоча б питання: чи є DDoS “характером кібератаки”? Як на мене – так. А значить – буде ДСК. Тобто фактично секретність залишається. А у темряві, як відомо, дуже зручно ховати свою некомпетентність та корупцію.

2. Тепер офіційно дозволяється розміщення резервних копій державних інформаційних ресурсів за межами України – на фізичних носіях та у хмарних сервісах. Протягом дії воєнного стану та 6 місяців після його завершення. Крім ТОТ та держави-агресора, звісно.

3. До поняття КСЗІ добавлено «авторизація системи з безпеки». Суть якого точно така ж сама, як і раніше – Держспецзв’язку «обілечує» всіх через підконтрольні структури. Яйця, вид збоку.

4. Згадується «відкритий перелік забороненого до використання програмного забезпечення» і що його заборонено буде використовувати держстректурами та «критичкою». Але самого переліку поки не існує. Але повноваження на його складання та ведення вже зараз делеговані ДСС331. Ще одна годівничка з квитками, які буде виписувати Держспецзв’язку.

5. І один з головних «важілів впливу» Держспецзв’язку на усі органи влади, а також на усю критичну інфраструктуру, у тому числі приватну: призначення керівника з кіберзахисту на посаду в органі державної влади – обов’язково погоджується ДСС331. Звісно, вимоги до підрозділів кіберзахисту, а також до їх керівників розробляє також ДСС331. Самі розробляють критерії, самі будуть їх змінювати, самі контролювати дотримання – тому причину відмови якось вже знайдуть. До речі, «органами влади» є МОУ та МЗС, тому їм Держспецзв’язку точно буде погоджувати «керівника з кіберзахисту» - це прямо слідує з тексту законопроекту.

6.Непомітний нюанс: ДСС331 відтепер «здійснює державний контроль» у тому числі у сфері «активної протидії агресії у кіберпросторі». Для цього створюється “Центр активної протидії агресії у кіберпросторі”. Чи означає це, що тепер Держспецзв’язку буде очолювати усі «хакерські війська»? Сумніваюся, що це буде працювати. Але формально задекларовано.

7. ДСС331 «координує діяльність інших суб'єктів забезпечення кібербезпеки щодо кіберзахисту». При тому, що НКЦК РНБО приблизно так само «здійснює координацію та загальний контроль за діяльністю суб’єктів сектору безпеки і оборони, які забезпечують кібербезпеку, загальну координацію суб'єктів національної системи реагування на кіберінциденти, кібератаки, кіберзагрози»
І законодавець не бачить тут ніякого протиріччя чи конфлікту. А це є великою проблемою – повноваження по суті дублюються, що дозволяє уникнути відповідальності. Координатор на координаторі і координатором поганяє.

8. НБУ розширює свій CSIRT-NBU до рівня Центр кіберзахисту Національного банку України. Якщо мають на це ресурси – то нехай, чо. Це взагалі окремий всесвіт, мало пов’язаний з не-банківськими справами.

9. Мінцифру не включили до складу «основних суб’єктів забезпечення кібербезпеки», хаха. Хоча у попередній версії це було.
Тобто Міша не те щоб очолювати кіберзахист країни – він навіть не є учасником цього двіжу. Ось тобі і «роль кібербезпеки перебільшена» - свої ж прокинули.
І наразі у списку залишаються аж 11 державних установ.
До нього законопроектом чомусь добавлено МЗС. Яке крім того що сприяє всьому хорошому, також “забезпечує координацію діяльності щодо співпраці з міжнародними партнерами для спільної відповіді на кібератаки і подолання кризових ситуацій у кібербезпеці».
Неясно нахіба взагалі включати дипломатичне відомство до «основних суб’єктів кібербезпеки». А тим більше віддавати їм «координацю з партнерами» - якщо це мають робити напряму, без посередників технічні підрозділи – у цьому суть.
А так це виглядає як зайва та надмірна бюрократизація. Для кого потрібна була ця норма – не зрозуміло, але ж її хтось таки пролобіюював. П’яте колесо до воза.

10. Добавлено пункт про планування держструктурами та ОКІ витрат на кіберзахист. Ну нехай, хоча все одно неясно де брати гроші на кібербезпеку.

11.Добавлено пункт про «систематичні тренінгів щодо кібергігієни», у тому числі “для членів уряду України, народних депутатів України, працівників патронатних служб,..”. Тонкий тролінг про депутатів та міністрів, хоча я тільки За.

12. Передбачається створення при ДЦКЗ Держспецзв’яку «Національного центру резервування державних інформаційних ресурсів» та «Центру антивірусного захисту інформації».
Останній, до речі, ще при мені існував, майже 20 років тому.
А про «центр резервних копій» говорять вже років 5-7, хоча ідея доволі спірна.
І про затаскану “систему захищеного доступу державних органів до мережі Інтернет”, яка також передбачена у цьому ЗП №11290 – говорять вже років 20. Проти якої теж безліч антикорупційних аргументів, які традиційно ігноруються.

13. Закладена можливість проведення Bug Bounty для держресурсів, але «відповідно до порядку, встановленого КМУ». Також стара та складна тема, яку намагалися вирішити раз 500 приблизно, але врешті гора народила кволу мишу.

14. Легалізується поняття MIL.CERT-UA – як Центр кіберзахисту Міністерства оборони України. А в СБУ закріплюється поняття вже давно існуючого «Ситуаційного центру забезпечення кібербезпеки». Окей, нехай.

15. Обов’язковість «виконання вимог» ДСС331 та СБУ держорганами та ОКІ щодо «вжиття необхідних заходів» та «невідкладне інформування про кіберінциденти » тепер забезпечується адміністративною відповідальністю – тобто штрафами - “за невиконання або невиконання у встановлені строки обов'язку щодо здійснення обов'язкових повідомлень про кіберінциденти, кібератаки”.
Не знаю чи це буде працювати, адже таких змін в Адмінкодекс не запроваджується.

16. Ще одну скандальну норму таки прибрали. У «Об’єднаної групи реагування», згаданої у попередній версії законопроекту - забрали повноваження «безперешкодного доступу до інформаційно-комунікаційних та технологічних систем військових формувань». Ну ладно, я задоволений. Хоч тут почули.

Висновки.

Ніяка це не «державна реформа кіберзахисту», товариство.
Так, деякі мінімальні покращення присутні, але це лише зафарбовані щілини у паркані.
Суть залишається старою та совковою: ще більше повноважень надається гнилій та наскрізь корумпованій Держспецзв’язку, інтереси якої потужно пролобійовані депутатом Федієнко (він же панФ) - який ніколи не був фахівцем з кібербезпеки. І вже не буде.

Нічого принципово нового у законопроекті не пропонується – лише призначити відповідальних у кожному міністерстві, відомстві, сільраді та на об’єкті критичної інфраструктури.
Щоб Держспецзв’язку мало там «на 100% свою людину» (С), призначення яких буде повністю ними контролюватися через механізм «погодження».
У тому числі – у Міноборони, оскільки воно є органом державної влади. ЗСУ не є органом влади, нагадаю.
Але коли знов когось хакнуть – ці держ-спец-пани знов не нестимуть жодної відповідальності, лише надуватимуть щоки та проводитимуть форуми з постарждалими.
А наступний хак станеться обов’язково.

Справжня система національної кібербезпеки повинна починатися з принципово нової інституції, яка буде лідером та авторитетом галузі. Точкою довіри. Еталоном компетенцій. Координатором та комунікатором. Партнером, а не вертухаєм.
Шлейф корупційних скандалів та репутація Держспецзв’яку просто унеможливлюють такі ролі для цього морально застарілого відомства, яке слід було ліквідувати ще років десять тому як повністю дискредитоване.
Натомість ДСС331 накачують все новими повноваженнями, до чого свого часу доклався також  модно-молодіжний діджитал-міністр Федоров.

Чи стане система кіберзахисту країни краще у разі підписання президентом законопроекту 11290? Дуже сумніваюся.
Чи стануть багатшими після цього чиновники Держспецзв’язку та їхні боси? До ворожки не ходи.
Чи відповідають ці зміни вимогам Євросоюзу? Сильно сумніваюся.
Чи треба колись все ж почати справжню реформу національної кібербезпеки?
Треба. Але за цієї влади, яка лише бреша та краде - це точно не можливо.